IPsecの3つのプロトコルを紹介!機能と特徴やVPNについても解説

IPsecの3つのプロトコルを紹介!機能と特徴やVPNについても解説のアイキャッチイメージ

プロトコルとは?


プロトコルとはコンピューター間で通信する通信規約を意味する言葉です。プロトコルは異なるマシン同士でも正常に通信が行えるように厳格に定義されており、将来的に情報通信技術がどのように展開していくかも考慮しながらプロトコルの作成が行われます。インターネットの接続ではTCP/IPプロトコルを使用しています。

IPsecとは?


IPsecとは暗号技術を活用することによりIPパケットレベルでの暗号化を行うプロトコルです。IPsecは「Security Architecture for Internet Protocol」を略した言葉です。パケット秘匿や改ざん検知を実現するIPsecという技術により、アプリケーションプロトコルを利用して転送されるHTTPやFTPなどのデータの完全性や気密性が確保されます。

IPsecの役割

IPsecにはインターネットで安全な通信を実現するという役割があります。インターネットを経由した通信では盗聴や改ざんなどの多くの脅威があるため、インターネット上で安全な通信を行うためのさまざまな技術が存在します。IPsecもその技術の中の1つで、IPsecを使用することで暗号化により通信が保護され、そういった脅威を軽減することが可能となります。

IPsecの歴史

IPsecの歴史は1992年にIPSEC BoFが発足されたことにはじまります。IPsecは、1992にIETFでIPSEC BoFというIPにセキュリティを追加するIPSECについて議論を行う組織が立ち上がったことにはじまり、その後ワーキンググループとして正式に活動をはじめました。1995年8月にはIPSEC Ver.1の仕様を公開し、1998年にはIPSEC Ver.2の仕様が公開されました。

IPsecの3つのプロトコル


IPsecには代表的な3つのプロトコルが存在します。IPsecの仕組みを知るためには、IPsecがどのようなプロトコルなのかを知る必要があります。IPsecとは実際には複数のプロトコルを総称した呼び方であり、IPsecには代表的な3つのプロトコルがあります。ここではIPsecの中核となっている3つのプロトコルについてご紹介しますので、ぜひIPsecを知るうえで参考にしてみてはいかがでしょうか。

1つ目:AHプロトコル

AHプロトコルは完全性の保証や認証機能を持ったプロトコルです。AHプロトコルのAHとは「Authentication Header」の略です。AHプロトコルではパケットの暗号化はできませんが、そのかわり、SPIやシーケンス番号、認証データのみをパックし、IPパケットの中に加えています。そのことにより、パケットが改ざんされていないかどうか認証することが可能となっています。

2つ目:ESPプロトコル

ESPプロトコルはデータの転送に利用されるプロトコルです。ESPプロトコルのESPとは「Encapsulating Security Payload」の略です。ESPプロトコルではパケットのペイロード部分と32ビットのSPI、シーケンス番号、認証データといった情報がすべてに暗号化されており、同梱されています。このことにより、ESPプロトコルでもパケットが改ざんされていないかどうかの認証ができます。

3つ目:IKEプロトコル

IKEプロトコルは鍵交換に用いられるプロトコルです。IKEプロトコルのIKEとは「Internet Key Exchange」の略です。IPSecを利用した暗号化通信では最初に鍵交換などのSAの合意をとる必要がありますが、このような合意を手動で行うことは難しいため、自動で行うことが望ましいです。そのため、自動的にSAの合意を取ることができるIKEプロトコルを鍵交換プロトコルとして利用しています。

IPsecの機能3つ


IPsecには3つの機能があります。ここまでご紹介したとおり、IPsecとは暗号化技術によってデータのセキュリティを保護し、インターネット上での通信を安全に行うためのプロトコルです。ここではIPsecにおける3つの機能をご紹介しますので、ぜひ参考にしてみてください。

機能1:暗号化

IPsecにはデータを暗号化する機能があります。IPsecは共通鍵暗号方式を使用するため、事前に設定しておいた暗号鍵をまずは通信相手同士で交換する必要があり、外部には絶対に漏らしてはいけない決まりがあります。IPsecは暗号化アルゴリズムを特定せずに、さまざまな暗号を利用する枠組みを提供するという特徴を持ちます。また、鍵交換では2段階で暗号方式と暗号鍵を交換し、IPsecによる暗号通信を行います。

機能2:認証

IPsecには送信データを認証する機能があります。IPsecでは、通信する当事者同士でパスワードを共有し、送信者は送信データとパスワードを組み合わせたデータをメッセージ・ダイジェストにより処理し、結果を認証データとしてパケットに付与します。また、受信者はデータとパスワードの組み合わせを同じメッセージ・ダイジェストで計算し、相違がないことを確認することで、改ざんされていないという認証ができます。

機能3:トンネリング

IPsecにはトンネリングと呼ばれる通信機能があります。トンネリングとは、通信を行う拠点同士で仮想的な通信路を作ることで、外部からの影響を受けない通信を可能とした技術です。IPsecではトンネリングをしたうえで、データを安全にやりとりするためにパケットなどを別のプロトコルで保護するカプセリングを行います。

IPsecの持つ2つの特徴


IPsecには2つの特徴があります。IPsecはインターネット上での安全な通信を実現できる技術ですが、IPsecを利用する場合にはどのような特徴を持つ技術なのか知っておくようにしましょう。ここではIPsecの持つ2つの特徴についてご紹介します。

特徴1:ネットワーク層での実装

IPsecはネットワーク層で実装するという特徴があります。IPsecは暗号化システムの技術により、ネットワーク層で通信のセキュリティを保護する機能を持ったプロトコルです。IPsecはAHプロトコル、ESPプロトコル、IKEプロトコルという3つのプロトコルによって構成されています。それらはすべてネットワーク層で実装されるため、上位層であるトランスポート層に実装されたプロトコルに関係なく動作します。

特徴2:アプリに依存しない

IPsecはアプリケーションに依存しないという特徴があります。前述のとおり、IPsecはネットワーク層に実装されるプロトコルであるため、上位層がTCPでもUDPでも問題なく動作します。さらにIPsecに関連する動作は全てIP層で処理されるため、アプリケーション側には影響を与えません。さらに制限もないためアプリケーションに依存せず、アプリケーション側ではIPsecを意識せずに導入することが可能です。

VPNとは?


VPNとは「Virtual Private Network」の略で、専用のネットワークを仮想的に構築するサービスのことです。暗号化通信が可能なため、無料Wi-Fiや公衆回線での安全性の高い通信も可能となります。

VPNの種類


VPNは、大きく分けて「IP-VPN」、「インターネットVPN」、「エントリーVPN」、「広域イーサネット」の4種類に分類されます。「IP-VPN」は、通信業者とその契約者のみが利用できる回線のことです。「インターネットVPN」は、既存の回線を活用した接続です。「エントリーVPN」は、インターネットを使用せず、IP網を活用した接続です。「広域イーサネット」は、自由度が高いことが特徴の接続です。それぞれメリットや適した場面などが違うため、利用する場合は事前にはあくしておきましょう。

VPNの仕組み

VPNは「暗号化」、「認証」、「トンネリング」という3つの技術から成り立っています。「暗号化」は、データの改ざんや盗聴防止のためにデータを複雑化する技術です。「認証」は、通信相手が正しいかを確かめる技術です。「トンネリング」は、データの送受信者の間に、仮想的なトンネル作ってつなげる技術です。このような仕組みにより契約者のみが利用する回線になるため、信頼性が高くなります。

SSLとは?


SSLとはWEBブラウザとサーバーの間でのデータ通信を暗号化する仕組みです。SSLは「Secure Sockets Layer」の略で、インターネット上でのブラウザとサーバーの間での通信を暗号化して送受信できます。ECサイトなどで個人情報やクレジットカードの情報などが盗まれないようにSSL技術は用いられています。SSLサイトにはURLの前に鍵マークが表示され、非対応であれば警告マークが表示されます。

SSLとIPsecの違い

SSLもIPsecもインターネット上で通信を暗号化するという面は同じです。SSLもIPsecと同じくインターネット上でデータ通信を暗号化して送受信する仕組みですが、SSLの場合はセッション層で実装され、さらにアプリケーションに依存するという特徴があります。一方、IPsecはネットワーク層で実装され、アプリケーションに依存しないという特徴を持ちます。また、両者は認証方式などにも違いがあります。

IPsecを使用して安全性を高めよう


IPsecへの理解を深めましょう。IPsecはインターネット上での通信のセキュリティを保護し、安全に通信するための仕組みです。また、SSLとは異なり、アプリケーションに依存しないという特徴を持ちます。ぜひこの記事でご紹介したIPsecの役割や機能、特徴などを参考にIPsecへの理解を深め、IPsecを使用してみてはいかがでしょうか。

インフラエンジニア専門の転職サイト「FEnetインフラ」

FEnetインフラはサービス開始から10年以上『エンジニアの生涯価値の向上』をミッションに掲げ、多くのエンジニアの就業を支援してきました。

転職をお考えの方は気軽にご登録・ご相談ください。